GitHub'ın yeni yapay zeka özelliği Agentic Workflows, henüz public preview aşamasındayken önemli bir güvenlik açığıyla gündeme geldi. Noma Security araştırmacıları, GitLost adını verdikleri bir teknikle, saldırganların herhangi bir kimlik bilgisi çalmadan ya da organizasyona erişmeden, sadece public bir repository'de normal görünümlü bir issue açarak özel depo verilerini sızdırabildiğini kanıtladı. Bu saldırı, AI ajanlarına verilen okuma yetkilerini manipüle ederek çalışıyor ve özellikle geniş repo erişimi olan token'lar kullanıldığında ciddi risk oluşturuyor.
GitLost saldırısının temelinde, yapay zeka ajanlarının sıkça karşılaştığı bir zafiyet yatıyor: indirect prompt injection. AI ajanı, kendi sahibinden gelen talimatlarla, okuduğu içerikte gizlenmiş kötü niyetli talimatları ayırt edemiyor. Araştırmacıların proof of concept'inde, satış müdüründen gelmiş gibi görünen bir issue, agent'ı bir özel reponun README dosyasını public bir yoruma yapıştırmaya yönlendirdi. GitHub'ın bu tür saldırılara karşı sandbox, varsayılan read-only token ve çıktı tarama gibi önlemleri bulunsa da, Noma ekibi 'Additionally' gibi tek bir kelime ekleyerek bu filtreleri aşmayı başardı.
Bu açığı diğerlerinden ayıran en önemli özellik, saldırganın ajanın ne söylediğinden çok ne yaptığını manipüle etmesi. Noma Security Araştırma Lideri Sasi Levi'ye göre, ajan burada bir sohbet penceresi değil, CI/CD altyapısına yakın konumlanmış, kimlik doğrulaması yapmış ve saldırganın göremediği repolara erişimi olan bir aktör. Saldırganın tek yapması gereken public bir issue açmak. Bu durum, geliştirici Simon Willison'ın 'ölümcül üçlü' olarak adlandırdığı koşulları oluşturuyor: özel verilere erişim, güvenilmeyen dış içerik okuma ve veri çıkışı yapabilme. Bu üçü birleştiğinde veri sızıntısı kaçınılmaz hale geliyor.
GitLost, son aylarda art arda gelen benzer saldırıların en yenisini temsil ediyor. Anthropic'in Claude Code GitHub Action'ı, Orca Security'nin RoguePilot'u ve Invariant Labs'ın gösterdiği MCP sunucu saldırısı, aynı yapısal zafiyeti kullanıyor. Noma, açığı GitHub'a bildirdi ve bulgularını şirketin bilgisi dahilinde yayınladı. Korunmak için en önemli adım, agent token'larının kapsamını daraltmak: yalnızca ilgili repoya erişim vermek ve geniş organizasyon çapında okuma yetkisinden kaçınmak. Ayrıca, public yüzeyli workflow'ların yazma yetkilerini sınırlamak, yalnızca belirli yazarlara güvenmek ve çıktıları insan onayına tabi tutmak öneriliyor. GitHub'ın tehdit algılama filtresi tek kelimeyle aşılabildiği için, bu önlemler bir bariyer değil sadece bir emniyet ağı olarak görülmeli.